说点有趣的——社工

        今天一朋友给我发消息说他在社工客服小姐姐，结果小姐姐很敏锐的察觉到并反问你是社工吗？然而朋友是位戏精在他的一番表演之下还是成功的拿到了他想要的东西。所以呢今天笔者想要和大家来聊聊社工相关的话题。
        国外有一位传奇黑客凯文·米特尼克（笔者超级崇拜他）被称为社工界的鼻祖，著有书籍《反欺骗的艺术》讲的便是社工，各位读者有兴趣的可以自行阅读，附上一张神仙照片。
说了这么多我们来看看维基百科是如何定义社工的：

在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。[1]这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中，这一行为一般是被认作侵犯隐私权的。

在我们渗透过程中经常会用到这种方法，比如说笔者之前文章中写过的信息搜集，我们在开始正式渗透之前要对我们的目标进行一波信息搜集，比如说这个网站站长的姓名，电话，QQ，身份证号等等敏感信息，并且大部分的社工会有属于自己的社工库，里边一般会涵盖姓名，电话，身份证号，网站密码等信息，所以在这里也建议大家每三个月更换一次密码，不要所有账号使用相同的密码以防被撞库攻击。
名词解释:撞库

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

例如CSDN,12306密码泄露很多都是攻击者在具备一个庞大的数据库后进行撞库攻击得到的。
社工的常见方法
1.假托:假托是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以创建合情合理的假象。
2.钓鱼
举个生活中很常见的例子，某天你收到了一封名为教务处发来的邮件，点开后需要你填写qq号以及密码？？？教务处为什么会要我的qq和密码呢，但是有些同学由于安全意识淡薄便上当受骗。下图是笔者前不久收到的一封邮件，我们不仅不能扫二维码，底下的在线文档也不要点击，防止攻击者在在线文档中插入病毒。例如某年很有名的比特币窃取事件就是通过一封带有病毒的邮件导致某高官账号被盗从而引发大规模比特币被盗。另外一个生活中常见的例子比如，某天某位好友给你发消息说，xxx可以帮我冲下电话费吗？你要验证他的身份提了一些问题对方回答都正确而且还有照片为证，这时候你应该相信他吗？当然是不，很多时候攻击者手中已经掌握了它所利用的这个人的大部分有效信息才会进行攻击，正确的做法是举报他，如果实在觉得可能是真的话打电话向好友求证而不是轻易地相信聊天软件上的话。
3.欺骗
前一段时间国内很著名的反间谍行动相信各位读者也有所耳闻，笔者印象比较深的是一家保密单位的一位员工，某天微信上收到一个好友请求并且显示是附近的人，照片是怎样的大家自行体会，两人便聊了起来，在这个过程中女方不断让男方将机密文件给她看，具体细节过程大家可以去看下纪录片，我直接说最后结果，最后的结果是这名女间谍人一直在台湾，只是通过黑客技术将自己的位置显示在了男员工的附近，从而利用社会工程学进行欺骗窃取材料。
大致就是这些，感兴趣的同学可阅读《反欺骗的艺术》学习，最后向黑客致敬。